ZARZĄDZANIE RYZYKIEM DLA CZŁONKÓW ZARZĄDU Mała

Transkrypt

ZARZĄDZANIE RYZYKIEM DLA CZŁONKÓW ZARZĄDU
Mała Apokalipsa
Jan Zabłocki prowadził dobrze prosperującą fabrykę metalowych elementów konstrukcyjnych dla
przemysłu motoryzacyjnego. Rynek, choć wymagający - był chłonny, zamówienia napływały regularnie a
firma osiągała wysoką rentowność, zarząd myślał o jej wprowadzeniu na giełdę. Jedynym zmartwieniem
Zabłockiego były niego napięte stosunki z pracownikami linii produkcyjnej i zdarzające się próby sił
między nimi a wiceprezesem, dyrektorem produkcji. Firma właśnie realizowała bardzo duże zamówienie
elementów aluminiowych dla swojego największego klienta – giganta samochodowego pracującego w
systemie just in time. Kolejne wypadki, które ostatecznie przekreśliły sukces firmy, wydawały się trudne
do przewidzenia. Nastąpiła złożona awaria prasy mechanicznej z wykrojnikiem, od której zależała cała
produkcja. Czas wytworzenia na zamówienie, sprowadzenia i wymiany uszkodzonego tłocznika
wielotaktowego wynosił minimum sześć tygodni, a taki okres bez produkcji oznaczał potężne straty i z
pewnością uniemożliwiłby firmie wywiązanie się z zamówienia. Firma była dobrze ubezpieczona
(wykupiła również ubezpieczenie utraty zysku) i mogła błyskawicznie wszcząć postępowanie
odszkodowawcze w stosunku do ubezpieczyciela. Po kilku dniach, w trakcie analizowania przypadku
przez ekspertów firmy ubezpieczeniowej, okazało się, iż przyczyną uszkodzenia mechanizmów
wykrojnika było użycie przy produkcji elementów aluminiowych, smaru odpowiedniego wyłącznie do
elementów stalowych, co spowodowało bardzo poważne uszkodzenia tłocznika wielotaktowego i zatarcie
jego elementów roboczych. Ubezpieczyciel, powołując się na jedno z wyłączeń w umowie
ubezpieczenia, odmówił wypłaty odszkodowania a Jan Zabłocki skierował sprawę przeciwko niemu na
drogę sądową i jednocześnie rozpoczął negocjacje z klientem. Dyrektor produkcji doszedł w tym czasie
do wniosku, że tak znaczne odstępstwo od reżimów produkcji nie mogło być zwykłą pomyłką, lecz
musiało być wynikiem sabotażu dokonanego przez kogoś z załogi. Nie ustalono kto spowodował usterkę
ale w konsekwencji zwolniono kierownika zmiany i brygadzistów, którzy nie potrafili – bądź też nie
chcieli - wskazać winnego. Pozostali pracownicy produkcyjni solidarnie zaczęli składać kolejno
wypowiedzenia i w efekcie firma pozostała bez najbardziej doświadczonych pracowników i bez
funkcjonującej linii produkcyjnej. Postępowanie sądowe przeciwko ubezpieczycielowi ciągnęło się nadal,
bardzo opornie następowała rekrutacja nowego personelu produkcyjnego. Po kilku tygodniach od awarii,
klient wystąpił ze spodziewanym roszczeniem o zwrot kosztów uruchomienia bardzo drogiej, zastępczej
produkcji aluminiowych podzespołów oraz poinformował, że ponadto pozywa firmę o zwrot kosztów
zatrzymania głównej linii montażowej samochodów. Wysokość pozwu przekraczała środki, jakimi
dysponowała firma Zabłockiego, a jej bank - wobec nagle niepewnej sytuacji finansowej firmy - odmówił
udzielenia kredytu i wszystko zapowiadało konieczność sprzedaży dużej części majątku. W krótkim
czasie drugi i trzeci co do wielkości klienci wyrazili swoje poważne zaniepokojenie sytuacją w zakładzie
produkcyjnym oraz poinformowali, że w związku z tym właśnie finalizują negocjacje z największym
konkurentem firmy Zabłockiego.
Wnioski: w firmie Jana Zabłockiego zabrakło zarządzania ryzykiem.
W dzisiejszym dynamicznym i wymagającym otoczeniu biznesowym każdy menedżer musi ponosić
ryzyko decyzji podejmowanych wobec niepełnych informacji. Nagrodą za podjęcie ryzyka
gospodarczego jest wypracowanie zysku i wzrost wartości firmy. Nadrzędnym celem zarządzania
ryzykiem jest ochrona i maksymalizacja wartości firmy: jej majątku, cash flow, zdolności operacyjnej
(zdolności do generowania zysku), a także reputacji i udziału w rynku. Z pewnością celem nie jest
zniechęcanie menedżerów do podejmowanie ryzyka – raczej zachęcanie do podejmowania ryzyka
biznesowego w sposób świadomy.
Risk Management Consulting Rafał Rudnicki
skr. poczt. 70, 62-035 Kórnik, tel. 501 449 889, e-mail [email protected]
CZYNNIKI ZEWNĘTRZNE
RYZYKA FINANSOWE
RYZYKA STRATEGICZNE
STOPY
PROCENTOWE
KONKURENCJA
ZMIANY WŚRÓD
KLIENTÓW
KURSY WYMIANY
WALUT
ZMIANY W BRANŻY
DOSTĘPNOŚĆ
KREDYTU
POPYT
INTEGRACJA
PRZEJĘTYCH I
POŁĄCZONYCH
SPÓŁEK
PŁYNNOŚĆ ORAZ
PRZEPŁYWY PIENIĘŻNE
BADANIA I ROZWÓJ
KAPITAŁ INTELEKTUALNY
CZYNNIKI WEWNĘTRZNE
KSIĘGOWOŚĆ
SYSTEMY
INFORMATYCZNE
ŁAŃCUCH
ZAOPATRZENIOWY
DOSTĘP
PRACOWNICY
REKRUTACJA
MAJĄTEK
PRODUKTY
I USŁUGI
USTAWODAWSTWO
KULTURA
UMOWY
DOSTAWCY
ZDARZENIA NATURALNE
SKŁAD
ZARZĄDU
OTOCZENIE
RYZYKA OPERACYJNE
NIEBEZPIECZEŃSTWA
CZYNNIKI ZEWNĘTRZNE
Istnienie i jakość zarządzania ryzykiem jest miarą
dojrzałości i kultury korporacji, jest przeciwieństwem
lekkomyślności w biznesie.
Cele strategiczne
przedsiębiorstwa
Ocena ryzyka
Analiza ryzyka
Identyfikacja ryzyka
Opis ryzyka
Pomiar ryzyka
Zmiany
Zainteresowanie risk menedżera
powinno obejmować wszelkie obszary i
funkcje związane działalnością jego
firmy a tym samym wszelkie możliwe
zagrożenia (które po skwantyfikowaniu
wielkością skutku i
prawdopodobieństwa zaczyna być już
konkretnym ryzykiem). Przywoływany
wcześniej Risk Management Standard
proponuje widoczny na rysunku powyżej
podział obszarów, w jakich należy
szukać ryzyk. Inne powszechnie
uznawane standardy – np. „Turnbull
Combined Code” mogą również służyć
jako dobry punkt odniesienia.
Naturalnie, zarządzanie ryzykiem nie spowoduje
zniknięcia zagrożeń. Natomiast dobrze poprowadzone
spowoduje, że:
- zaistnieją wspólne, przejrzyste kryteria oceny,
porównywania i postępowania wobec ryzyk
dotyczących skrajnie odmiennych obszarów i funkcji
firmy (np. ryzyko utraty klienta i ryzyko awarii sieci
IT)
- zostaną zdefiniowane proste zależności pomiędzy
skutecznością zarządzania ryzykiem a osiąganiem
celów
biznesowych
- zarząd będzie w pełni przygotowany na faktyczne
wystąpienie (tzw realizację) zagrożeń, gdyż zrobiono
wszystko, aby po pierwsze zminimalizować
prawdopodobieństwo wystąpienia zagrożenia a po
drugie
skutki
jego
wystąpienia
- firma będzie miała zdecydowanie większą zdolność
do „podniesienia” się po katastrofie i do stosunkowo
szybkiego przywrócenia zasobów operacyjnych i
zdolności
do
generowania
zysku
- firma zwiększy przewagę konkurencyjną.
Ewaluacja ryzyka
Informowanie o ryzyku
Zagrożenia i szanse
Decyzja
Postępowanie wobec ryzyka
Uściślenia wymaga samo pojęcie
„ryzyka”: są to wymierne skutki
zrealizowania się negatywnego
zdarzenia rozpatrywane łącznie z
prawdopodobieństwem zrealizowania
się takiego zdarzenia. Ujmując rzecz z
Residual Risk Reporting
Monitorowanie
Formalny
audyt
matematyczną prostotą: ryzyko = skutek * prawdopodobieństwo.
Co jest niezmiernie ważne: skutek i prawdopodobieństwo to dwie całkowicie od siebie niezależne
wielkości, w żaden sposób na siebie nie wpływające, tym samym wymagające odrębnej analizy.
Przedstawiony tekst jest skrótem pokazującym podstawowe elementy i mechanizmy procesu zarządzania
ryzykiem, akcentując raczej „co” i „dlaczego” należy zrobić, a nie „jak” to zrobić. Osnową, na jakiej
oparto opisywaną metodologię, jest Risk Management Standard stworzony jesienią 2002 przez ekspertów
z trzech brytyjskich organizacji: AIRMIC (Association of Insurance and Risk Managers), IRM (Institute
of Risk Management) oraz ALARM (National Forum for Risk Management in Public Sector). Dziedzina
zarządzania ryzykiem przenika się funkcjonalnie z nurtem Business Continuity Management oraz ideą
ładu korporacyjnego (Corporate Governance), jednak ze względu na skromną objętość tego tekstu te
ostatnie zagadnienia nie zostaną poruszone.
Przegląd procesu
Zarządzanie ryzykiem gospodarczym nie jest jednorazowym aktem, czy zbiorem kilku decyzji lecz
procesem zamykającym się w pętlę logiczną. Model na rysunku na poprzedniej stronie obrazuje
zależności pomiędzy etapami całego procesu zarządzania ryzykiem, tak jak to widzą menedżerowie
ryzyka z Wielkiej Brytanii, a w poniżej zamieszczono opisowe rozwinięcie tego modelu.
Charakterystyczne etapy i elementy procesu zarządzania ryzykiem
Analiza ryzyka
Identyfikacja ryzyka – czyli ujawnienie pełnej „ekspozycji” przedsiębiorstwa na zjawiska niepewności.
Zbagatelizowanie lub niedostrzeżenie któregoś z zagrożeń obala sens dalszego zarządzania ryzykiem, bowiem
obejmowałoby ono jedynie fragment rzeczywistości.
Opisanie i pomiar ryzyka – to określenie (wyliczenie) dwóch zasadniczych cech definiujących ryzyko:
maksymalnych realnych skutków finansowych oraz prawdopodobieństwa. Opisanie ryzyka zawsze przekłada się
na znacznie głębsze, lepsze poznanie swojej własnej firmy w zupełnie nowym, dotąd nie analizowanym aspekcie.
Oszacowanie ryzyka – wykonane w sposób jakościowy lub ilościowy, najczęściej przybiera formę wykresu lub
tabeli. Różne środowiska używają tutaj różnego nazewnictwa: mapa ryzyka, matryca ryzyka, model ryzyka, profil
ryzyka – lecz tak naprawdę chodzi o jedno - o sprowadzenie wszystkich ryzyk do wspólnego mianownika, i
porównanie ryzyk, które na pierwszy rzut oka wydają się być nieporównywalne.
Drugi etap jest momentem zwrotnym, i wiąże się z
- ustosunkowaniem się do ryzyka, to znaczy ze zdecydowaniem jakiej rangi jest to ryzyko, a zatem jaki szczebel
zarządczy będzie za nie odpowiadał. Poszczególnym ryzykom nadaje się również priorytety na skali ważności i
pilności.
- reakcją na ryzyko, czyli świadomym modyfikowaniem tego ryzyka poprzez: unikanie, kontrolowanie, czyli
prewencję (oddziaływanie na prawdopodobieństwo - przyczyny) bądź redukcję (oddziaływanie na wielkość
skutku), czy też transfer lub ostatecznie tzw retencję ryzyka.
Na administrowanie ryzykiem, składają się:
Monitorowanie i przegląd procesu zarządzania ryzykiem. Przedsiębiorstwa – jako organizacje – są zmienne,
podobnie ich otoczenie konkurencyjne jest dynamiczne. To sprawia, że żadne decyzje powzięte na podstawie
przeprowadzonej analizy ryzyka nie są wiecznie poprawne.
Raportowanie i komunikowanie ryzyka, poprzedzone skonstruowaniem sieci informacyjnej (tzw rejestrów ryzyka)
oplatającej wszystkie funkcje i procesy firmy i informującej o stanie tzw wskaźników ryzyka (risk indicators) parametrów pozwalających stwierdzić, na ile blisko jesteśmy pewnych stanów krytycznych, których firma nie chce
przekraczać.
Uzupełnieniem i logicznym domknięciem procesu są dwa przedsięwzięcia:
Budowa polityki zarządzania ryzykiem - statycznego lecz pojemnego pojęciowo szkieletu, w jakim funkcjonuje
cały dynamiczny model zarządzania ryzykiem.
Wypracowanie planów awaryjnych (disaster recovery plan) - powinny pozwolić szybko odzyskać choćby
minimum potencjału operacyjnego firmy, a także w możliwie najkrótszym czasie uzyskać pełną zdolność do
generowania przychodów i zysku.
Bliższe spojrzenie na niektóre etapy pokaże, że zarządzanie ryzykiem nie jest czarna magią, a
menedżerskim rzemiosłem, które żyje kontaktem z rzeczywistością i jest w gruncie rzeczy proste.
Identyfikacja zagrożeń
Ryzykiem dla konkretnej firmy działającej w konkretnej branży jest jedynie takie zjawisko, które może
firmie przeszkodzić w osiągnięciu jej celów biznesowych. Stąd warunkiem rozpoczęcia identyfikacji ryzyk
jest zapoznanie się ze strukturą celów biznesowych (lub jej stworzenie), dla poziomu zarządu, dyrektorów
działów (oddziałów) oraz dla poziomu kierownictwa operacyjnego. Cele biznesowe stanowią kontekst, w
jakim szuka się zagrożeń i rozważa ich kaliber.
Identyfikacja ryzyka polega na metodycznym przeglądzie wszystkich bez wyjątków aspektów
funkcjonowania firmy i jej otoczenia biznesowego. Mamy do dyspozycji wiele narzędzi znanych
większości menedżerów, na przykład:
- stakeholders analysis (analiza pod kątem oczekiwań głównych grup interesu)
- analiza SWOT
- analiza PEST.
Pomocne może być wykonanie gruntownego przeglądu przepływów i koncentracji zasobów firmy w
sensie geograficznym i logicznym (operacyjnym, funkcjonalnym). Nieocenione są rozmowy i warsztaty
przeprowadzane z menedżerami i kierownikami niższych szczebli operacyjnych – gdyż ci znacznie lepiej
zdają sobie sprawę z ryzyk, jakie zagrażają firmie, niż sam zarząd. Lista rozmówców jest otwarta, risk
manager powinien przejawiać mnóstwo inicjatywy w jej rozszerzaniu, aby uniknąć wybiórczego
analizowania organizacji (z angielskiego tzw. „silo thinking”).
Złożone obszary i funkcje w obrębie firmy mogą wymagać bardziej specjalistycznych narzędzi
analitycznych:
- mapowanie procesów;
- flow charts - analiza ilości i rodzaju przepływających przez infrastrukturę firmy materiałów pod kątem
wzajemnego wpływu na wynik (sprawność) produkcji i wąskich gardeł;
- metody HAZOP (Hazard and Operability Studies), HAZID, Fault Tree Analysis, Root Cause Analysis,
metoda Bowtie, analiza ALARP.
Zidentyfikowane ryzyka wymagają prostego i jasnego opisu trzema składnikami: co jest ryzykiem, jaka
jest jego przyczyna oraz jego potencjalne skutki. Posiadana wiedza każe przypuszczać, że w przeciętnej,
dużej firmie istnieje około 100 grup ryzyk do wstępnego rozważenia. Niektóre firmy konsultingowe i
instytucje (m.in. Deloitte & Touche, Ernst & Young, AON Risk Consulting oraz FERMA) cyklicznie
publikują swoje badania dotyczące ryzyk, postrzeganych przez europejskie przedsiębiorstwa jako
kluczowe.
Kwantyfikacja i kalibracja ryzyk
Dysponując listą ryzyk specyficznych dla określonej branży i konkretnego przedsiębiorstwa można podjąć
decyzję, które ryzyka są pierwszoplanowe. Pomoże nam w tym scharakteryzowanie tych ryzyk dwoma
parametrami:
- maksymalny skutek realizacji zagrożenia
- prawdopodobieństwo realizacji zagrożenia.
Biorąc pod uwagę skrajnie odmienne typy ryzyk (np. awaria linii produkcyjnej, śmierć CEO),
najrozsądniej zacząć od uzgodnienia wspólnych kryteriów kwantyfikowania tych parametrów. Do tej pory
przyjęto generalnie dwie konwencje: prostsza konwencja operująca punktacją (najczęściej skala od 1 do 5
dla obu parametrów), oraz trudniejsza, próbująca określić przybliżoną wartość prawdopodobieństwa (w
procentach lub jako ułamek jedności) oraz skutku - przedstawionego jako kwota (rząd wielkości).
Skutek powinien przedstawiać konsekwencje najgorszego z realnie możliwych scenariuszy. Przyjęty
poziom skutku nie może być efektem zgadywania i wymiany opinii - powinien bezpośrednio wynikać z
„twardych” danych źródłowych, które będą się poddawać weryfikacji.
Punktem odniesienia może być analiza zaistniałych historycznie incydentów w firmie, wśród partnerów i
konkurentów, w podobnych branżach. Najtrudniejszą częścią tego zadania jest przełożenie strat
niewyrażalnych w pieniądzu na wartości wymierne. Ile istnień ludzkich przekłada się na miliony ? Ile
złotówek jest warta nasza reputacja ? Iloletni zysk jest równoważny dziesięciu procentom udziału w
rynku ? Jak bardzo strata CEO zaważy na wyniku finansowym firmy ? Tutaj należy przywołać
wspomniane wspólne kryteria uwzględniające cele strategiczne firmy, tzw corporate values czy wreszcie
powszechne zasady etyczne.
Prawdopodobieństwo – niezależnie czy ustalane w punktach czy jako procent - zależy nie tylko od
charakteru samego zagrożenia jako zjawiska (np. powódź, defraudacja), ale i otoczenia w jakim
funkcjonuje przedsiębiorstwo, definiowanego przez np. kulturę zarządzania, wielkość i stopień złożoności
firmy, czynnik ludzki, warunki makroekonomiczne i polityczne, istniejące środki kontroli ryzyka - jest to
merytorycznie najtrudniejsza część procesu.
Mapa ryzyka i apetyt na ryzyko
Warunkiem prawidłowego wyskalowania modelu (profilu) ryzyka jest ustalenie kilku wartości
progowych, definiujących kiedy kończy się „mały” skutek a zaczyna „średni”, oraz wartości progowe dla
skutku „dużego” i „katastroficznego”. Ramka poniżej przedstawia sposób definiowania tych wartości
bazowych oraz tzw apetytu firmy na ryzyko, który łącznie z celami biznesowymi przedsiębiorstwa tworzą
zasadniczy punkt odniesienia jakichkolwiek decyzji wynikających z zarządzaniem ryzykiem. Dla
przeciętnej, zdrowej finansowo firmy zwykle będą to następujące rzędy wielkości: 0,1% obrotów, 1%
obrotów i 10% obrotów.
Równie istotne jest określenie pułapów
Definiowanie progowych wartości skutku (w wartościach
pieniężnych) oraz tzw poziomu tolerancji (lub apetytu) na
prawdopodobieństwa, które oznaczają dla firmy
ryzyko. Większość znanych metod bazuje na koszyku
zdarzenie „prawie niemożliwe”, mało
wskaźników finansowych przedsiębiorstwa –
prawdopodobne, prawdopodobne i wysoce
przykładowy koszyk (wg. R.J. Hansman) analizuje
prawdopodobne. Oprócz podejścia najprostszego, poniższe parametry i przykłada do nich pokazane wagi:
uznaniowego (np. odpowiednio 5%, 10%, 25%,
50%) istnieje szereg metod statystycznych
parametr
waga
kapitał
pracujący
3,00%
pozwalających dopasować progi, prawie że idealnie
środki
pieniężne
25,00%
do profilu i celów firmy oraz jej apetytu na ryzyko.
wartość netto
majątek (środki trwałe)
Stworzenie mapy ryzyka polega na naniesieniu
sprzedaż
poszczególnych ryzyk ma wykres XY, gdzie
planowane zyski
współrzędnym X odpowiadają wartości
historyczne zyski (3 lata)
prawdopodobieństwa, a współrzędne Y to wartości tolerancja na ryzyko =
2,00%
2,00%
1,00%
5,00%
5,00%
średnia arytmetyczna
wyrażające skutek. Po naniesieniu wspomnianych
wartości progowych dla skutku (linie poziome) i prawdopodobieństwa (linie pionowe) mapa ryzyka jest
gotowa. Ramka na kolejnej stronie, prezentująca przykładową mapę ryzyka, została zaopatrzona w
komentarz jak interpretować taki wykres.
Mapa Ryzyka ilustruje rozkład (profil)
ryzyk dla przedsiębiorstwa, wynikający z
dokładnej analizy poszczególnych ryzyk.
Ryzyka położone wyżej na wykresie są
bardziej dotkliwe w sensie skutków, strat
finansowych, a położone bliżej prawej
strony są bardziej prawdopodobne.
Zważywszy te dwie prawidłowości
stosunkowo łatwo wskazać ryzyka
krytyczne dla przedsiębiorstwa – te
blisko prawego górnego rogu (np. ryzyko
1 oraz 2), ryzyka stosunkowo mało
prawdopodobne ale niezwykle dotkliwe
(np. ryzyka 3 i 4) a także ryzyka
„nagminne” lecz stosunkowo drobne (np.
ryzyka 6, 7 i 8).
Zademonstrowaną analizę ułatwia
nałożenie kolorów sygnalizacji świetlnej
na tak powstałą mapę, podobnie jak na
ilustracji poniżej. Nie należy ulegać
złudzeniu, że jednorazowe stworzenie
mapy ryzyka wystarczy, gdyż jest ona
obrazem dynamicznym – podobnie jak
całe przedsiębiorstwo – a naniesione na
niej ryzyka przemieszczają się. Na tym
polega istota cyklu zarządzania
ryzykiem, który wymaga powtarzalności.
Reagowanie na ryzyko
Zarządzanie ryzykiem jest sztuką funkcjonowania w warunkach niepewności, lecz nie gwarantuje
stuprocentowej nieomylności. Całe dotychczasowe analizy prowadziły do przygotowania właściwego
gruntu pod możliwie najtrafniejsze decyzje strategiczne i operacyjne, których celem ma być „pozbycie”
się zbyt wysokiego obciążenia ryzykiem.
Ryzyka plasujące się bliżej każdego z rogów matrycy wymagają odrębnych strategii reagowania (ang. risk
treatment):
- ryzyka przy prawym górnym rogu wymagają bezzwłocznego i aktywnego działania, zmierzającego do
jednoczesnego zmniejszenia możliwych skutków oraz prawdopodobieństwa zdarzenia, również rozważa
się zaniechanie działalności firmy, która łączy się z takimi ryzykami
- ryzyka w lewym górnym rogu, jako że mało prawdopodobne, są mniej pilne niż te poprzednie i
wymagają zabiegów zmierzających do zmniejszenia możliwych skutków oraz budowania planów
awaryjnych (nawiązanie do zarządzania kryzysowego)
- ryzyka w prawym dolnym rogu to „siły tarcia” występujące w każdym przedsiębiorstwie:
niedoskonałości procesów, organizacji, kultury zarządzania wymagające długofalowego, systemowego
podejścia porządkującego codzienną pracę firmy.
Pominięte w komentarzu ryzyka (lewy dolny róg) to te, które możemy tolerować.
Jeśli chodzi o zasadnicze ryzyka – np. te bliżej prawej i górnej części mapy ryzyka, mamy do dyspozycji
bogate (przynajmniej teoretycznie) oprzyrządowanie pomagające we właściwym reagowaniu na nie:
- unikanie ryzyka (zaniechanie działań generujących ryzyko)
- kontrolowanie lub transfer ryzyka, omówione niżej, oraz
- retencja ryzyka, czyli jego świadome zatrzymanie w firmie (samofinansowanie, samoubezpieczenie).
Kolejność nie jest przypadkowa - jest podyktowana pogarszającym się wskaźnikiem nakładów czasu,
wysiłku i pieniądza w stosunku do uzyskanych efektów kolejnych rozwiązań.
Kiedy unikanie ryzyka jest niemożliwe, należy podjąć próbę jego kontrolowania, które może odbywać się:
- poprzez prewencję, czyli oddziaływanie na prawdopodobieństwo (przyczyny, mechanizmy prowadzące
do realizacji ryzyka, najczęściej efektywne przy ryzykach położonych w prawym dolnym rogu)
- oraz redukcję, czyli oddziaływanie na skutek realizacji ryzyka (zmniejszanie jego maksymalnej
wielkości, najczęściej skuteczne przy ryzykach położonych w lewym górnym rogu).
Transfer ryzyka polega na odpłatnym przeniesieniu całej ryzykownej działalności, lub samego ryzyka
jakie się z nią wiąże, do partnera, który jest lepiej przygotowany do kontrolowania i finansowania takiego
ryzyka. Przypadek szczególny (i nie zawsze najbardziej ekonomiczny) transferu ryzyka to jego
ubezpieczenie, które jest niczym innym jak tylko odpłatną zamianą sytuacji niepewności finansowej na z
góry pewny (ustalony) poziom kosztów.
Przed zrealizowaniem działań wynikających z wymienionych narzędzi – szczególnie chodzi o
kontrolowanie i transfer ryzyka – niezbędne jest przeprowadzenie analizy kosztów i rentowności takiego
projektu. Zważywszy konieczność podejmowania decyzji dotyczących „miękkich” ryzyk (utrata reputacji
i podobne), analiza kosztów i korzyści powinna oprócz elementów czysto finansowych uwzględniać
wspomniane już wartości niefinansowe: corporate values oraz zasady etyczne.
Struktura i administrowanie systemem zarządzania ryzykiem
Motorem całej struktury zarządzania ryzykiem w firmie jest risk manager. Skuteczność funkcjonowania
systemu zarządzania ryzykiem zależy w istotnej mierze od kompetencji i umocowania risk managera –
ideałem jest sytuacja, w której odpowiada on bezpośrednio przed CEO, dość powszechne jest również
umocowanie bezpośrednio przy CFO. Po tragedii WCT 11/09 risk managerowie na świecie zaczęli
gwałtownie „awansować”, przemieszczając się w hierarchii korporacyjnej znacznie bliżej zarządów.
Kaliber ryzyka jest odnoszony do wspomnianej wcześniej tolerancji firmy na ryzyko i decyduje, na jakim
poziomie kierowniczym zostanie umieszczona funkcja zarządzania określonym ryzykiem – inaczej, kto
będzie jego „właścicielem” (ang. risk owner). Kluczowe jest wprowadzenie zasady rozliczania risk
ownera ze skuteczności zarządzania ryzykiem, w odróżnieniu od nie zawsze jasnego pojęcia
„odpowiadania” za ryzyko. Rozliczanie odbywa się na zasadzie stawiania celów spełniających tzw.
warunek SMART (Specific – precyzyjne, Measurable – mierzalne, Achievable – osiągalne, Realistic –
realistyczne, oraz Time bound – określone terminem). Wprowadzenie reguły „własności” pojedynczych
ryzyk nie powinno przesłaniać obrazu wszystkich ryzyk (omawianej matrycy ryzyka) - z punktu widzenia
całej firmy istotne jest zarządzanie portfelem ryzyk, a nie wyizolowanymi ryzykami.
Monitorowanie i raportowanie ryzyk, mimo iż wydawałoby się, że jest mało istotną czynnością
administracyjną, w rzeczywistości spełnia rolę układu nerwowego całego przedsiębiorstwa. Jego sens
polega na:
- analizowaniu, czy przedsięwzięte środki kontrolowania ryzyk są realizowane, czy są skuteczne i czy są
zgodne z przewidywanymi kalkulacjami kosztowymi,
- badaniu jak się ryzyka zmieniają (jedynym pewnym elementem w tej dziedzinie dotyczącej niepewności
jest to, że ryzyka nieustannie się zmieniają),
- zdolności wczesnego wykrycia nowych ryzyk wynikających ze zmieniającej się organizacji bądź
środowiska biznesowego, w jakim funkcjonuje.
Również ryzyka zatrzymane i te już podlegające kontroli powinny bezwzględnie znaleźć się w rejestrze
ryzyk i być monitorowane – istnieją przypadki pokazujące, że ryzyka pozornie ujarzmione mogą się
wymknąć
spod
kontroli
i
zagrozić
przedsiębiorstwu.
Oprogramowanie
Na rynkach najbardziej dojrzałych pod względem
kultury i technologii zarządzania ryzykiem, oferta
oprogramowania wspomagającego najróżniejsze
etapy i systemy zarządzania ryzykiem jest niezwykle
szeroka. Osobiście zidentyfikowałem 21 firm –
głównie z Nowej Zelandii, Anglii i Australii oferujących 27 różnych aplikacji. Wiadomo mi
również, że w trakcie podejmowania decyzji o
wyborze
oprogramowania
dla
brytyjskiego
ministerstwa obrony rozpatrywano ponad 200
pozycji. Często są to aplikacje oparte na serwerze
MySQL i stacjach roboczych mających dostęp do
serwera przez sieć internetową i zwykłą
przeglądarkę. Opcje dostępne w tych aplikacjach
stanowią przekrój przez wszystkie funkcje
zarządzania ryzykiem, poprzez wstępna analizę
ryzyk, ich mierzenie, tworzenie rejestru i funkcje
wspomagające
śledzenie
tych
ryzyk
i
skoordynowaną wymianę informacji na ich temat,
aż po automatyczne generowanie przypomnień
czy alarmów dla właścicieli ryzyk w sytuacji
przekroczenia terminu czy też poziomu ryzyka.
Zrzuty z ekranu przykładowych programów
znajdują
się
w
ramkach
obok.
Pułapki ...
Godziny rozmów przeprowadzonych z wieloma risk managerami aktywnymi w Europie nauczają, że
nawet najbardziej rzetelnie przygotowane i ambitne plany dotyczące zarządzania ryzykiem w
korporacjach mogą ugrzęznąć na etapie ich wprowadzania, wprowadzone mogą stać się kolejnym,
martwym garbem biurokratycznym bądź też są realizowane wycinkowo, bez wizji.
Pułapki, w jakie najczęściej wpadają firmy w początkowym etapie procesu to:
- nadmierne komplikowanie analizy, struktury i systemu zarządzania ryzykiem prowadzące do
przeświadczenia u menedżerów operacyjnych, że zarządzanie ryzykiem to „czarna magia” i zadanie
karkołomne, niewykonalne;
- zbyt ambitne zamiary jeśli chodzi o ilość ryzyk, które próbuje się jednocześnie analizować lub
kontrolować – może to prowadzić do szybkiego wypalenia się zarządu; według zapewnień Bernie
Catterall′a, Human Applications, firmy akredytowanej przez brytyjski Institute of Risk Management,
badania naukowe przeprowadzone w Anglii dowodzą, że obciążenie zarządu większą liczbą ryzyk niż
sześć spowoduje, iż żadne z nich nie będzie zarządzane właściwie, a wręcz wszystkie mogą zostać
„odłożone na półkę”.
Brak wyobraźni lub próby rozwiązywania problemów „na skróty” prowadzą do:
- nie wiązania skutków zdarzeń dotykających jedne jednostki biznesowe z dodatkowymi stratami
powstającymi w konsekwencji w jednostkach lub spółkach powiązanych, lub też niedostrzeganie
związków przyczynowo-skutkowych pomiędzy ryzykami zależnymi (np. złapanie grupy pracowników na
defraudacji skutkuje ich wyrzuceniem z firmy, co może generować okresowe problemy kadrowe i tym
samym problemy np. z jakością czy zdolnościami produkcyjnymi);
- rezygnacji z wypracowania indywidualnych, specyficznych dla firmy modeli i rozwiązań (automatyczne
przenoszenie gotowych wzorców z innych przedsiębiorstw) - ścieżka postępowania powinna być dla
każdego przedsiębiorstwa budowana od zera, ściśle wokół unikalnych procesów przebiegających w
firmie;
- braku elastycznych struktur, rozwiązań i systemów, które nie wytrzymują próby czasu i rozpadają się
bądź dezaktualizują pod wpływem dynamiki zmian w firmie i w jej otoczeniu
- zamkniętego myślenia (ang. silo thinking) - na etapie identyfikacji, analizowania i monitorowania
ryzyka nieodzowne jest tworzenie i aktywne funkcjonowanie interdyscyplinarnych grup, których
członkowie zostali zwerbowani z najróżniejszych działów (funkcji) organizacji i są doświadczonymi
specjalistami lub menedżerami.
Wokoło osoby risk managera również może tworzyć się atmosfera niesprzyjająca realizacji jego celów.
Najczęstsze problemy są następujące:
- zbyt „niskie” umocowanie risk managera a przez to uzależnienie go od interesów wyższych
menedżerów operacyjnych (brak niezależnej oceny i postępowania), jest to rozwiązanie na tyle wadliwe
że praktycznie dyskwalifikuje takiego risk managera, który nie może skutecznie sprawować swojej
zasadniczej roli, tzn nie może reprezentować (chronić) interesów udziałowców;
- niezależność risk managera przeradza się w jego alienację w firmie (to ten, który „węszy i
kwestionuje”), może się on bronić przed takim procesem otaczając się najlepszymi kierownikami i
specjalistami w firmie, niekoniecznie wysokiego szczebla, ale osobami darzonymi szacunkiem i
oddanymi koncepcji zarządzania ryzykiem;
- rozterki i niepewność, komu funkcja powinna zostać powierzona - pracownikowi, który może być
uwikłany w grę interesów poszczególnych menedżerów a tym samym pozbawiony nieodzownej na tym
stanowisku niezależności i obiektywizmu, również może powielać przyzwyczajenia i stereotypy myślowe
pozostałych menedżerów, czy też – zewnętrznemu konsultantowi, który choć pozbawiony wymienionych
słabych stron będzie potrzebował sporej ilości czasu aby poznać firmę, zanim zacznie cokolwiek do niej
wnosić; wątpliwe jest również, czy po zakończeniu kontraktu pozostawi w niej trwale jakąkolwiek
wartość dodaną.
Rafał Rudnicki stworzył model risk managementu w międzynarodowej grupie logistycznej Raben i
zarządza w Grupie Raben ryzykiem. Jest członkiem AIRMIC, FERMA i współzałożycielem Polskiego
Stowarzyszenia Zarządzania Ryzykiem. Prowadzi własną stronę internetową poświęconą zarządzaniu
ryzykiem: www.rudnicki.com.pl

ZARZĄDZANIE RYZYKIEM DLA CZŁONKÓW ZARZĄDU Mała

Transkrypt

Podobne dokumenty

Artykuł ukazał się w Miesięczniku

Artykuł ukazał się w Miesięczniku Ubezpieczeniowym.

Różne oblicza zarządzania ryzykiem | Pol-Int

Broszura - Gras Savoye Polska

Załącznik nr 1 do formularza oferty – ZAKRES SZKOLENIA I DZIEŃ

Zarządzanie ryzykiem - Falcom

pobrać w formacie - RMC Rudnicki

Konferencja naukowa PRAWO ADMINISTRACYJNE I

Ryzyko w procesie zarządzania